Die Europäische Datenschutzgrundverordnung (DSGVO) wurde von der EU-Kommission, dem Europäischen Parlament und dem Ministerrat der Europäischen Union mit dem Ziel erlassen, den Datenschutz für Einzelpersonen innerhalb der Europäischen Union zu stärken und zu vereinheitlichen.
Die DSGVO ist die bedeutendste Änderung der europäischen Datenschutzvorschriften in den letzten 20 Jahren. Ihr Ziel ist es, die privaten Daten der EU-Bürger zu schützen, indem Unternehmen direkt für die Anwendung von Sicherheitsmaßnahmen zum Schutz der von ihnen erfassten personenbezogenen Daten verantwortlich gemacht werden. Die Datenschutzgrundverordnung stärkt auch das Recht der EU-Bürger, die Löschung, Korrektur und Weitergabe ihrer Daten von den Verantwortlichen und Verarbeitern einzufordern.
Die Bußgelder der DSGVO sind mittlerweile bekannt und gefürchtet: Unternehmen, die gegen die Grundprinzipien der Verordnung verstoßen, können mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Auch die Datenschutzbehörden in ganz Europa haben sich nicht zurückgehalten, sie anzuwenden. Von Google und British Airways bis hin zu H&M und Marriott wurden einige der größten Unternehmen der Welt mit rekordverdächtigen Geldbußen von über 20 Millionen Euro belegt.
Der Bereich Data Loss Prevention (DLP) ist in einer einzigartigen Position, wenn es darum geht, nicht nur Informationen, sondern auch Tools zu liefern, die dabei helfen können, die strengen Anforderungen der DSGVO zu erfüllen. Nachfolgend sind die wichtigsten Möglichkeiten aufgeführt, wie DLP bei der Einhaltung der GDPR-Richtlinie behilflich sein kann:
Wissen, wo personenbezogene Daten gespeichert sind
Eine der wichtigsten Bestimmungen der DSGVO verlangt von den für die Datenverarbeitung Verantwortlichen und den Verarbeitern, dass sie wissen, wo personenbezogene Daten gespeichert sind und wie sie verarbeitet werden. Die meisten DLP-Lösungen enthalten Funktionen zur Datenerkennung, mit denen Administratoren die gesamte Computer- und Geräteflotte eines Unternehmens auf der Suche nach sensiblen Informationen scannen können, die durch spezielle Compliance-Profile für Gesetze wie DSGVO, HIPAA oder CCPA, internationale Standards wie PCI DSS, personenbezogene Daten (PII), Dateierweiterungen, Dateinamen und mehr definiert sind. So können Unternehmen feststellen, wie sensible Daten von Mitarbeitern genutzt und gespeichert werden. DLP-Tools können auch die Bewegungen der Daten protokollieren und Berichte erstellen, die den Datenschutzbehörden auf Anfrage oder zur Unterstützung von Audits zur Verfügung gestellt werden können.
Personenbezogene Daten löschen, wenn sie nicht mehr benötigt werden
Eine weitere Anforderung der DSGVO ist, dass personenbezogene Daten nur für den Zweck verarbeitet werden dürfen, für den sie erhoben wurden, und dass sie gelöscht werden müssen, wenn sie nicht mehr benötigt werden. DLP-Tools mit Scan-Funktionen für ruhende Daten ermöglichen es Administratoren, die Endgeräte des Unternehmens zu durchsuchen, um sicherzustellen, dass Daten, die gelöscht werden müssen, nicht lokal auf Festplatten gespeichert sind.
Wenn Dateien mit sensiblen Daten gefunden werden, die durch DLP-Richtlinien definiert sind, können Administratoren Maßnahmen wie Verschlüsselung oder Löschung vornehmen, um sicherzustellen, dass die Anforderungen der DSGVO erfüllt sind. Auf diese Weise können Administratoren leicht kontrollieren, welche personenbezogenen Daten im Unternehmensnetzwerk verbleiben.
Die Nutzung personenbezogener Daten einschränken
Die DSGVO schreibt vor, dass die Verarbeiter sicherstellen müssen, dass personenbezogene Daten nicht für einen anderen Zweck als den, für den sie erhoben wurden, verwendet werden. DLP-Lösungen können durch die Überwachung und Kontrolle der Datennutzung leicht dazu beitragen, diese Anforderung zu erfüllen. Durch den Einsatz leistungsstarker Tools für die Inhaltsprüfung und kontextbezogene Scans können DLP-Lösungen sensible Daten in Dateien und im Text von E-Mails in Echtzeit identifizieren und ihre Übertragung über nicht autorisierte Kanäle wie Messaging-Apps, Cloud-Speicherlösungen oder Social Media-Plattformen blockieren. Mit solchen Sicherheitsrichtlinien können Benutzer keine persönlichen Daten mehr hochladen, kopieren und einfügen oder drucken und so Datenlecks und den Missbrauch sensibler Daten verhindern.
Verhinderung von Datenmanipulationen und -verlusten
Das in die DSGVO eingeführte Konzept der „Sicherheit durch Technik und durch Voreinstellungen“ macht Unternehmen rechtlich für Datenlecks oder Datendiebstahl verantwortlich. Während Antivirus- und Antimalware-Lösungen entwickelt wurden, um die Datenexfiltration durch Cyberangriffe zu verhindern, befassen sich DLP-Lösungen mit Insider-Bedrohungen wie böswilligen Insidern, die versuchen, geistiges Eigentum und vertrauliche Daten zu stehlen, oder mit der Nachlässigkeit von Mitarbeitern, die zu unbeabsichtigten Datenlecks führen.
Mit ihren leistungsstarken Data-at-Rest- und Data-in-Motion-Scannern und Gerätekontrollfunktionen können DLP-Lösungen wie Endpoint Protector Unternehmen dabei helfen, sicherzustellen, dass personenbezogene Daten niemals das Unternehmensnetzwerk verlassen, indem sie ihre Übertragung einschränken oder blockieren.
Sicherheitsstandards für personenbezogene Daten einhalten
Durch die DSGVO müssen die für die Datenverarbeitung Verantwortlichen die Datenschutz- und Sicherheitsstandards kennen und überprüfen ob diese eingehalten werden. Dies lässt sich leicht durch den umfassenden Einsatz von DLP-Tools erreichen, die das gesamte Netzwerk eines Unternehmens auf Daten bei der Übertragung und im Ruhezustand scannen und dabei diese vordefinierten Standards als Filter verwenden können. Sie können feststellen, ob Richtlinienverstöße vorliegen und diese zurückmelden, damit entsprechende Maßnahmen ergriffen werden können.
DLP-Lösungen bieten einen unvergleichlichen Einblick in die Unternehmensdaten und ermöglichen es den Administratoren, strenge Regeln für bestimmte Gruppen sensibler Daten festzulegen, während den Mitarbeitern die Freiheit eingeräumt wird, Daten außerhalb dieser Kategorien frei zu verwalten. Es ist eine einfache Möglichkeit, dem Netzwerk eines Unternehmens eine zusätzliche Sicherheitsebene hinzuzufügen und zu gewährleisten, dass menschliches Versagen oder ein Verstoß durch arglistige Mitarbeiter nicht zu einer Verletzung der Vorschriften führt. Im Zeitalter der DSGVO gibt es keine Entschuldigungen mehr für Unternehmen, die von Datenschutzverletzungen betroffen sind: Sie tragen jetzt in den Augen des Gesetzgebers die Verantwortung für alle personenbezogenen Daten von EU-Bürgern, die falsch verwaltet oder verlegt wurden.
Wenn Sie mehr über die Anforderungen der DSGVO erfahren möchten, werfen Sie einen Blick auf unsere DSGVO-Infografik – Checkliste und Wesentliches.